금융사 해킹 사고 땐 고객피해 보상 의무화

정부 IT보안대책…CEO 문책ㆍ영업정지도
외부 인터넷망ㆍ내부 전산망 분리 설치해야

앞으로 금융회사들은 외부인의 해킹으로 고객정보가 유출되거나 전산사고가 일어났을 경우에도 고객에게 의무적으로 피해를 보상해야 한다. 또 금융회사 직원들이 접속하기 위한 외부 인터넷망과 내부 금융전산망을 분리하고,데이터베이스(DB)는 내부망에만 설치 운영해야 한다.

금융위원회는 23일 이 같은 내용의 '금융회사 정보기술(IT) 보안강화 종합대책'을 발표했다. 지난 3월 현대캐피탈의 고객 정보 유출,4월 농협의 전산망 마비 사고와 최근 NH투자증권의 거래내역 노출 사고 등이 잇따랐기 때문이다. 종합대책은 금융회사와 최고경영자(CEO)의 책임의식을 강화하고 관련 투자를 늘리는 것이 골자다. 하지만 구체적 목표나 지침 없이 '전반적으로 관리를 강화하라'는 취지의 내용이 대다수여서 실제 효과가 있을지 미지수라는 지적이 나오고 있다.

◆CEO 등 관리자 책임 강화

금융위는 우선 해킹사고가 일어났을 때 금융회사가 손해배상 책임을 갖는다는 내용으로 전자금융거래법 개정을 추진하기로 했다. 현행법은 전자적 전송 · 처리 과정에서 발생한 사고에 대해 금융회사는 손해배상 책임이 있다고 적시했지만 해킹에 대해선 책임 여부가 명확하지 않다.

금융위는 또 보안 사고가 일어난 금융회사를 보다 강하게 제재하기로 했다. 위반행위자,경영진,금융회사 각각에 대한 제재 기준을 별도로 마련한다. 대형 사고가 발생하면 '업무정지'도 내릴 수 있게 된다.

정지원 금융위 기획조정관은 "그간 행위 보조자나 감독자는 규제 수준을 낮춰주는 경향이 있었는데 앞으로는 인사상 불이익이 확실히 가도록 할 것"이라고 말했다. 그는 다만 "관련 시행세칙을 아직 개정하지 않은 상태이므로 정태영 현대캐피탈 사장 등은 소급적용을 받지 않게 된다"고 밝혔다.

◆실행 안 되면 '도루묵'

금융위는 이날 다양한 내용의 금융사 IT 보안강화 대책을 내놨지만 막상 내용을 샅샅이 훑어보면 구체적인 내용은 많지 않다. IT 보안 예산 비율과 관련 인력의 비율 등에 대해서는 앞으로 감독 규정에 명시하겠다고만 밝히고 구체적인 내용은 정하지 않았다. 금융회사 인터넷망과 내부 업무망을 분리하도록 하는 것도 '단계적으로 유도하겠다' 등의 표현을 써 실제 이뤄질지는 확신하기 어렵다. 외주업체 보안관리에 대해서도 '자체 IT 보안전담조직을 통해 관리를 철저히 수행하라'는 원칙론만 제시했다.

금융위는 또 '고객 비밀번호 암호화 등 고객정보 관리를 강화하겠다'고만 했다. 고객 비밀번호 외에 주민등록번호 주소 연락처 금융거래내역 등 정말 중요한 내용들을 어떻게 다뤄야 할지에 대해서는 금융회사가 알아서 하도록 놔 둔 셈이다.

한편 농협은 이날 정보보호 업무를 전담하는 최고 정보보호 책임자(CSO,부장급)에 내부 출신인 IT 전문가 한정열 씨를 임명했다. 현대캐피탈은 지난 22일 전성학 안철수연구소 시큐리티대응센터장을 CSO로 영입했다.

이상은 기자 selee@hankyung.com